Configuración de balanceo de carga Dual-WAN en routers empresariales

PCHardwarePro » Windows » Configuración de balanceo de carga Dual-WAN en routers empresariales

Cuando empiezas a depender de tu conexión a Internet para trabajar, dar servicio a clientes o sostener videovigilancia 24/7, un simple corte de tu ISP puede convertirse en un auténtico problema. Por eso cada vez más empresas (y usuarios avanzados en casa) apuestan por configuraciones de balanceo de carga y Dual-WAN en sus routers profesionales, combinando varias líneas de Internet para ganar estabilidad, rendimiento y redundancia.

En este artículo vas a ver, con todo lujo de detalles, cómo funciona la configuración de balanceo de carga (Dual-WAN) en routers empresariales, qué modos existen (failover, temporizado, spillover, round-robin…), cómo se configuran en equipos muy habituales (TP-Link, ASUS, D-Link, etc.) y qué debes tener en cuenta si quieres montar algo similar en tu empresa o incluso en tu hogar sin volverte loco con las siglas.

Qué es el balanceo de carga Dual-WAN en routers empresariales

En un router empresarial con múltiples puertos de Internet, Dual-WAN significa que el equipo puede usar dos (o más) conexiones WAN de forma simultánea o alterna. En vez de depender de un único proveedor, conectas dos líneas (por ejemplo, fibra + LTE, o dos fibras de distintos ISP) y el router decide por qué enlace envía cada sesión de tráfico.

La mayoría de routers profesionales modernos permiten algo más que simplemente conmutar entre enlaces: integran mecanismos de balanceo de carga y respaldo de enlace. Esto se traduce básicamente en dos grandes funciones:

Balanceo de carga (Load Balance): el router reparte las conexiones salientes (sesiones) entre todas las WAN disponibles, aumentando el ancho de banda total utilizable y reduciendo la saturación en cada enlace individual. Si tienes dos líneas de 300 Mbps, no vas a ver 600 Mbps en un único test de velocidad, pero sí puedes conseguir que varios usuarios descarguen y naveguen aprovechando los 600 Mbps globales.

Enlace de respaldo (Link Backup o Failover): el router utiliza una o varias WAN principales y mantiene otras en espera (standby). Solo cuando detecta que se ha cumplido una condición de fallo (como caída de línea, pérdida de ping o un horario establecido), activa las WAN de respaldo y enruta por ellas todo el tráfico nuevo.

En resumen, ambas funciones sirven para mejorar la resiliencia de la red, pero con matices importantes: el balanceo de carga aprovecha todas las WAN de forma continua, mientras que el enlace de respaldo reserva una parte de las WAN y solo las usa cuando se cumplen las reglas que hayas configurado.

Modos de respaldo de enlace: temporización y conmutación por error

Muchos routers empresariales, como los TP-Link de la gama profesional (por ejemplo TL-R600VPN, TL-R470T, TL-ER7206, etc.), incorporan un módulo específico de “Link Backup” con distintos modos que combinan con el balanceo de carga. Dos de los más útiles en entornos reales son el modo de temporización y el modo de conmutación por error (failover).

Algo clave en estos equipos es que la copia de seguridad de enlace suele depender de que el balanceo de carga esté habilitado. En los menús de TP-Link verás que, si no marcas “Habilitar balanceo de carga”, el Link Backup directamente no funciona o se comporta de forma errática.

Modo de temporización en enlace de respaldo

El modo de temporización está pensado para casos en los que quieres usar una WAN en horario laboral y otra en horario off, sin que se solapen salvo por fallo. Por ejemplo, una empresa (o un usuario en casa) con un TL-R600VPN V4 y dos puertos WAN conectados a Internet puede querer utilizar:

WAN1 como línea “de trabajo” de lunes a viernes, de 8:00 a 18:00, y WAN2 como línea “personal” fuera de ese horario, aprovechando quizás un plan más barato o con otra política de tráfico.

En los routers TP-Link el proceso típico es:

1. Definir el rango horario. En el menú de “Preferencias > Rango de tiempo” se crea un intervalo con los días de la semana y las horas en las que debe activarse la WAN de respaldo. Este rango será el disparador para que el router decida cuál de las WAN debe estar activa en cada momento.

2. Activar el balanceo de carga. Vas a “Transmisión > Balanceo de carga > Configuración básica” y marcas “Habilitar balanceo de carga”. Sin esta casilla, el Link Backup no entra en juego aun cuando lo tengas configurado.

3. Seleccionar WAN principal y WAN de respaldo. En “Transmisión > Balanceo de carga > Enlace de respaldo” defines qué puerto es la WAN principal (por ejemplo WAN1) y cuál actúa como WAN secundaria (WAN2). Además, en equipos con más de una WAN marcada como principal, puedes ajustar el comportamiento frente a fallos mediante opciones como:

• Failover (habilitar respaldo cuando falla alguna WAN principal): si hay varias WAN principales y se cae una, el router activa la WAN de respaldo.
• Conmutación por error total (cuando fallan todas las WAN principales): solo se recurre a las WAN de respaldo si se detecta caída de todas las WAN que hayas definido como principales.

Un detalle peculiar de este modo: durante el intervalo de tiempo configurado la WAN “secundaria” pasa a estar en línea y la principal se queda offline. Fuera de ese periodo, se invierte la relación. Esto te permite, por ejemplo, tener un enlace residencial barato (o un LTE pagado por tráfico) como respaldo fuera de horarios laborales.

Conviene saber también que, si se produce un fallo en la WAN que estaba “online” en ese momento, las WAN marcadas como offline permanecen offline; no es un modo pensado para failover puro y duro, sino para alternar líneas en función de la hora.

Modo de conmutación por error (failover) en enlace de respaldo

El modo de conmutación por error se enfoca en minimizar al máximo las interrupciones del servicio. El caso típico descrito por TP-Link es un cliente con un TL-R600VPN V4 y dos WAN:

WAN1: fibra o cable de cuota fija mensual, de buena calidad y con coste predecible. WAN2: conexión LTE o banda ancha móvil que se factura por volumen de datos consumido.

Lo habitual en esta situación es usar siempre WAN1 para todo y solo saltar automáticamente a WAN2 cuando se detecte que WAN1 no tiene conectividad. Así se gana fiabilidad sin disparar la factura de datos móviles.

En los routers de TP-Link el procedimiento suele ser:

1. Activar balanceo de carga. Igual que antes, se entra en “Transmisión > Balanceo de carga > Configuración básica” y se marca “Habilitar balanceo de carga”. Sin esto, el failover no arranca.

2. Marcar la prioridad de las WAN. En “Transmisión > Balanceo de carga > Enlace de respaldo” se define WAN1 como “Primary WAN” y WAN2 como “Secondary WAN”. En condiciones normales, todo el tráfico nuevo se envía por WAN1. Cuando la función de monitorización detecta que WAN1 está offline, el router levanta WAN2 y redirige por ella las nuevas sesiones.

3. Configurar la detección en línea. En “Transmisión > Balanceo de carga > Detección en línea” se ajusta cómo va a saber el router si una WAN está realmente activa. Los modos habituales son:

• Automático: el router utiliza consultas DNS (DNS lookup) hacia la puerta de enlace del puerto WAN o hacia un servidor DNS para verificar conectividad.
• Manual: el administrador especifica direcciones IP a las que hacer ping y/o dominios a los que lanzar resoluciones DNS, con umbrales de tiempo y número de intentos para declarar la WAN caída.

La idea es utilizar IPs o dominios muy estables, como DNS públicos conocidos, para evitar falsos positivos. Si esos pings/consultas empiezan a fallar, el router marca esa WAN como inactiva y hace la conmutación a la WAN de respaldo.

Casos de uso domésticos: redundancia “tipo empresa” en casa

Todos estos conceptos no se quedan solo en el mundo corporativo; hay muchos usuarios que ya han replicado una mini infraestructura empresarial en sus hogares para huir de los clásicos cortes del ISP y mejorar la cobertura Wi-Fi.

Un ejemplo real bastante ilustrativo es el de un programador en Chile que, harto de los problemas de su proveedor principal (VTR), decidió montar una red doméstica con failover y mejor Wi-Fi sin tener grandes conocimientos de redes. Tenía:

• Conexión principal de VTR (cable, no fibra, con rendimiento irregular).
• Conexión secundaria de WOM, una banda ancha móvil 4G con un pequeño hotspot sin puerto RJ45.

Sus problemas eran los clásicos: cortes constantes que tiraban reuniones, clases online de sus hijos y partidas de videojuegos, y además una cobertura Wi-Fi pésima en una de las habitaciones pese al uso de repetidores.

La solución que diseñó fue poner en casa algo muy parecido a una red de oficina:

• Un router 4G LTE con ranura para SIM (D-Link 4G N300 LTE) para convertir la conexión de WOM en Ethernet.
• Un router / load balancer profesional TP-Link TL-R470T para gestionar las dos WAN y hacer el failover.
• Un switch PoE (TP-Link TL-SF1005P) para distribuir la red cableada.
• Un punto de acceso (AP) profesional (TP-Link EAP225) para dar Wi-Fi de calidad a toda la casa.

Este tipo de topología, muy típica ya en pymes, permite separar claramente funciones: un equipo para cada capa (WAN, switching, Wi-Fi). La clave estuvo en configurar bien cada dispositivo y los rangos de IP para evitar conflictos y doble NAT innecesario.

Configuración de la conexión LTE como WAN secundaria

El primer paso fue preparar el router 4G N300 LTE para convertir la conexión móvil en una WAN “normal” por Ethernet. Para ello:

Cambió la IP LAN por defecto en el router LTE a algo como 192.168.1.254/24, desde el menú “Settings > LAN”, para no pisar el rango del futuro balanceador y minimizar conflictos.

Luego configuró la conexión de datos móviles con los parámetros específicos del ISP (WOM), algo crítico porque muchos APN publicados en Internet están pensados para móviles y no para routers BAM. En este caso:

• APN: “datacard”
• IP Version: IPv4
• Modo APN: Manual
• NAT activado para que el router entregue direcciones privadas a la LAN

Además, como no quería que ese equipo hiciera de punto de acceso inalámbrico, deshabilitó la Wi-Fi en “Settings > Wi-Fi”, manteniendo las antenas solo para la recepción 4G. El acceso de administración se quedó restringido a la interfaz Ethernet.

Finalmente, conectó el puerto LAN1 del router LTE al puerto WAN2 del balanceador TL-R470T mediante un cable Ethernet. De ese modo, el router profesional ve la conexión 4G como si fuera otro módem cualquiera.

Configurando el router load balancer TP-Link TL-R470T

El router TP-Link TL-R470T actuó como auténtico corazón del sistema, gestionando las dos WAN y la LAN. Para que todo encajase correctamente, se realizaron varios ajustes básicos:

1. Cambio de IP LAN por defecto. En “Network > LAN” se fijó una IP como 192.168.2.1, con su máscara 255.255.255.0. Esto evita las típicas colisiones de IP cuando cada módem/router usa el rango 192.168.0.x o 192.168.1.x.

2. Configuración de los puertos WAN. En “Network > WAN” se seleccionó “WAN Mode: 2” para usar dos puertos WAN. En la pestaña “WAN2” se conectó a la red LTE (ya enlazada por cable) y se pulsó “Connect” para validar la conexión. En la pestaña “WAN1” se conectó por Ethernet al módem del ISP principal (VTR) y también se verificó la conectividad.

Algo fundamental que se comprobó es que cada ISP estaba en un segmento distinto (por ejemplo, VTR trabajando en 192.168.0.x y WOM en 192.168.1.x). Si ambos hubs de acceso comparten el mismo rango, los routers empresariales suelen exhibir comportamientos impredecibles.

3. Activación de load balancing y failover (Link Backup). Con las dos WAN ya funcionando, se entró en “Transmission > Load Balancing > Basic Settings” para marcar “Enable Load Balancing”. A continuación, en la pestaña “Link Backup” se añadió una regla con:

• Primary WAN: WAN1
• Secondary WAN: WAN2
• Mode: Failover (Enable backup link when any primary WAN fails)
• Status: Enable

Con esto, el router usa siempre WAN1 y, en caso de fallo, levanta automáticamente WAN2 tras detectar la caída mediante los mecanismos de monitorización mencionados antes.

La prueba típica para comprobar que todo está bien montado es lanzar un ping continuo (por ejemplo ping -t a un dominio), forzar la desconexión física de WAN1 y observar cómo tras unos cuantos paquetes perdidos la conexión vuelve a fluir, esta vez usando el enlace de respaldo.

Switch y punto de acceso: extendiendo la red cableada y Wi-Fi

Resuelto el tema de las WAN, a este usuario le seguía faltando algo esencial: la distribución interna de la red. Para ello utilizó un switch PoE y un punto de acceso profesional.

Configuró el TP-Link TL-SF1005P conectando un cable desde el puerto WAN3 del balanceador (en modo LAN) a un puerto LAN del switch. Como el modo WAN del TL-R470T estaba fijado en 2, los puertos restantes del router se podían usar como puertos LAN clásicos.

Desde el switch:

• Puerto LAN1 al puerto principal del punto de acceso TP-Link EAP225.
• Puerto LAN2 al PC de trabajo vía Ethernet.

El EAP225 se alimenta vía PoE, así que se encendió automáticamente en cuanto se conectó el cable. En el panel de configuración del AP, una vez accedió a su interfaz, definió las SSID Wi-Fi, las bandas (2,4 GHz y/o 5 GHz) y la clave, creando redes inalámbricas más estables y potentes que las de un router doméstico estándar.

Con todo esto ganó dos cosas de golpe: una red cableada limpia, apta para el trabajo, y una Wi-Fi unificada para toda la casa, todo colgando del mismo núcleo Dual-WAN.

Dual-WAN en routers domésticos avanzados: ASUS y otros

Muchos routers Wi-Fi residenciales de gama media/alta también han incorporado funciones de Dual-WAN, especialmente marcas como ASUS. Aunque no son tan flexibles como los equipos puramente “empresariales”, pueden ser más que suficientes en hogares exigentes o pequeñas oficinas.

En el ecosistema ASUS, el Dual-WAN permite mezclar distintos tipos de enlaces: WAN por puerto Ethernet clásico, USB con módem 3G/4G, o incluso una LAN reconfigurada como WAN secundaria. Desde la interfaz web (Web GUI) se configuran dos modos principales: conmutación por error (failover) y balanceo de carga.

Dual-WAN en modo conmutación por error en ASUS

El funcionamiento es similar al failover visto en TP-Link. El router monitoriza de forma constante el estado de la WAN principal mandando peticiones DNS o pings, y si detecta que ha perdido conectividad, cambia el tráfico hacia la segunda WAN.

El resumen de pasos para configurar un modo típico sería:

• Entrar a la interfaz web del router (IP LAN o http://www.asusrouter.com).
• Ir a “WAN > Dual WAN” y activar la opción “Activar Dual WAN”.
• Elegir WAN principal y WAN secundaria entre las opciones disponibles (WAN, USB, Ethernet LAN). No se puede seleccionar dos veces el mismo tipo.
• En “Modo Dual WAN” seleccionar “Conmutación por error”.
• Guardar (Aplicar) y revisar en el mapa de red que la secundaria aparece como “Hot-Standby” o “Cold-Standby”.

ASUS además permite activar una función de “failback” para que, cuando el router detecte que la WAN principal ha recuperado la conectividad, vuelva automáticamente de la WAN secundaria a la principal, evitando estar usando el enlace de respaldo más caro o más limitado más tiempo del necesario.

Dual-WAN en modo balanceo de carga en ASUS

En el modo de balanceo, el router reparte las sesiones entre las dos WAN, usando algoritmos internos y permitiendo incluso asignar dispositivos concretos a una u otra WAN mediante reglas de enrutamiento.

La interfaz permite elegir una proporción de reparto (por ejemplo 3:1). Si tu WAN principal es de 200 Mbps y la secundaria de 100 Mbps, puedes configurar 3:1 para que el router asigne aproximadamente 3 de cada 4 nuevas descargas a la WAN principal y 1 de cada 4 a la secundaria, optimizando recursos y rendimiento.

Eso sí, ASUS advierte de que este balanceo se hace por sesión, no sumando anchos de banda para una sola conexión. Es decir, una única descarga no va a “ver” 300 Mbps, sino la velocidad de la WAN que tenga asignada en ese momento.

Hay algunas limitaciones importantes a tener en cuenta:

• DDNS, servidores virtuales y reenvío de puertos suelen estar ligados a la WAN principal. Si activas dual-WAN en modo balanceo, estas funciones pueden dejar de funcionar correctamente, por lo que ASUS recomienda usar el modo de conmutación por error si necesitas acceso remoto estable.
• Dual WAN y agregación WAN no pueden estar activadas a la vez. Si habilitas una se desactiva la otra automáticamente.
• Actualmente el Dual-WAN en muchos modelos ASUS solo se soporta sobre IPv4.

Balanceo de carga WAN en routers empresariales D-Link

En la gama profesional de D-Link, como el DSR-1000AC, encontramos también dos puertos Gigabit para WAN, pensados precisamente para escenarios empresariales multienlace. En estos equipos se distinguen claramente dos grandes modos para la parte WAN: Auto-Rollover y Load Balance.

En la configuración inicial, lo primero es definir bien los parámetros de cada WAN (DHCP, IP estática, PPPoE, L2TP, PPTP, VLAN tag, DNS, MTU, velocidad del puerto, etc.). Este paso es crucial para que luego los mecanismos de balanceo y failover funcionen correctamente.

Una vez que ambos enlaces están operativos, se entra en “Network / Internet / WAN Mode” donde se elige:

• Auto-Rollover: equivalente al failover. Un enlace actúa como principal y el otro entra en funcionamiento solo cuando se detecta que el primero ha caído.
• Load Balance: el tráfico se reparte entre múltiples WAN según el algoritmo configurado (Round Robin o Spillover).

En Auto-Rollover puedes seleccionar cuál es la WAN primaria y cuál la secundaria, además de configurar cómo va a comprobar el router si la WAN está “up”: usando los servidores DNS del operador, DNS personalizados o pings a direcciones IP concretas.

En el modo Load Balance, D-Link permite elegir entre:

• Round-Robin: reparte las sesiones de manera más o menos equitativa entre todas las WAN activas. Por ejemplo, si hay 12 equipos conectados, 6 podrían salir principalmente por la WAN1 y 6 por la WAN2, dependiendo del patrón de conexiones.
• Spillover: utiliza una WAN como principal hasta que su carga alcanza un umbral definido; a partir de ahí, comienza a desviar tráfico a la otra WAN.

En Spillover se configuran parámetros como:

• Load tolerance: porcentaje del ancho de banda máximo a partir del cual se empieza a utilizar el segundo enlace (por ejemplo, 80%).
• Max bandwidth: velocidad real de la conexión (en bps, Kbps o Mbps) para que el cálculo de carga sea correcto.

También se puede monitorizar el estado de las WAN en función de DNS de la propia WAN, DNS personalizados o pings a IP públicas, igual que en los modos de failover.

Balanceo de carga, Round-Robin y Protocol Binding en otros routers

Otros fabricantes, como algunos modelos de routers multi-WAN orientados a pymes, implementan esquemas muy similares de Load Balancing con algoritmos de Round-Robin y Spillover, añadiendo además funciones como el “Protocol Binding”.

En una configuración típica de Load Balancing:

• Se entra al menú “Network > WAN Mode” y se elige “Load Balancing”.
• En “Load Balancing Setup” se selecciona “Round Robin” o “Spillover”.
• En “WAN health check” se define cómo se comprobará el estado de cada enlace (usando DNS de la propia WAN, DNS personalizados o pings a IP públicas).

La opción de Protocol Binding es especialmente interesante: permite asociar ciertos servicios o flujos a una WAN específica. Por ejemplo, podrías querer que todo el tráfico de VoIP salga por la WAN1 mientras que las descargas pesadas vayan por WAN2.

Una regla de Protocol Binding suele incluir:

• Service: servicio predefinido (HTTP, HTTPS, VoIP, etc.) o personalizado, que se puede configurar en el apartado de firewall.
• Local Gateway: WAN concreta que quieres asignar a ese tráfico.
• Source Network: hosts de la LAN para los que se aplica la regla (una IP individual, un rango o toda la red interna).
• Destination Network: destino al que apunta el servicio (cualquier IP, un rango concreto, etc.).

Con esta combinación, puedes granularizar bastante cómo se utiliza cada enlace, manteniendo crítica la estabilidad de algunos servicios mientras aprovechas el segundo enlace para tráfico menos sensible.

Diseño de topologías Dual-WAN en casa: failover, carga y CCTV

Mucha gente se plantea llevar estas ideas a su red doméstica con objetivos claros: conmutación automática ante caída de un ISP, uso simultáneo de dos líneas y, si se puede, algo de agregación de velocidad. Un caso muy representativo es el de un usuario que quería asegurar un 100% de disponibilidad para teletrabajo y monitorización de CCTV.

Su situación inicial era simple: un solo ISP con router personal conectado al módem del operador, doble NAT (porque el módem no estaba en modo bridge) y un único punto de fallo. La intención era suscribirse a un segundo ISP y utilizar un router multi-WAN como el TP-Link ER7206, colgando de él su router Wi-Fi (por ejemplo un Archer AX23) en modo AP o router principal.

La topología propuesta era algo así: ISP1 y ISP2 conectados al ER7206 por sus puertos WAN, y del ER7206 hacia el router Wi-Fi de malla, configurado como punto de acceso, para dar cobertura en toda la casa con varios nodos mesh.

Las dudas giraban en torno a:

• Si el ER7206 manejaría bien el entorno con doble o incluso triple NAT al no poder poner los módems en modo bridge.
• Si compensaba poner el Archer AX23 en modo AP y así evitar triple NAT, sacrificando algunas funciones como QoS integradas en el propio Archer.
• Si el “Link Backup” por defecto sería suficiente para que los flujos de CCTV no se estuvieran cayendo y levantando constantemente en un failover mal afinado.
• Si habría problemas para acceder a las cámaras localmente desde un PC conectado al ER7206 mientras las cámaras estaban colgadas del AX23.

En estos escenarios, la recomendación típica es centralizar toda la lógica de routing en el router multi-WAN (ER7206) y usar el resto de equipos como puntos de acceso o switches tontos, reduciendo el número de capas de NAT. Con una buena configuración de rutas internas y VLANs, es perfectamente posible seguir accediendo al CCTV local desde cualquier equipo de la red interna, aunque esté “colgado” de otro dispositivo siempre que esté en el mismo segmento de red o existan rutas adecuadas.

Respecto al failover, elegir bien los parámetros de monitorización de las WAN y los tiempos de conmutación es clave para que las cámaras de vigilancia no pierdan sesión continuamente. En muchos casos, para sistemas críticos de CCTV se opta por failover puro sin balanceo de carga, manteniendo así un comportamiento más predecible de cara a los flujos de vídeo.

Las configuraciones de balanceo de carga Dual-WAN en routers empresariales, combinadas con modos de failover y herramientas como el Protocol Binding, permiten diseñar redes muy sólidas tanto para empresas como para usuarios avanzados en casa. Entender la diferencia entre usar todas las WAN simultáneamente o reservar unas como respaldo, saber cómo se detectan las caídas de enlace y planificar bien los rangos de IP, NAT y topología interna son los ingredientes que marcan la diferencia entre una red que simplemente “funciona” y otra que aguanta sin pestañear cortes de ISP, picos de tráfico y necesidades de acceso remoto exigentes.